Apple : en trois mois, cinq hackers dénichent 55 bugs et gagnent 288 500 dollars de récompense

09 octobre 2020 à 16h13
13

D’abord rémunérés 51 500 dollars, la médiatisation de leur histoire a poussé Apple à sortir le chéquier pour accorder une rétribution un peu plus conséquente…

Si vous êtes doué en informatique et que vous envisagiez de mettre à profit vos compétences dans des programmes de primes aux bugs, l’histoire de cinq pirates informatiques ayant amassé 288 500 dollars en trois mois de travail pour Apple devrait vous intéresser. Mais au départ, leurs émoluments étaient nettement moins conséquents.

55 vulnérabilités trouvées, certaines très critiques

Leur nom : Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb, Tanner Barnes. À l’origine, les cinq individus considéraient cette activité de recherche de bugs comme un moyen de glaner un peu d’argent supplémentaire pendant leur temps libre. Mais au fil des semaines, cette occupation est devenue une vraie besogne.

« Lorsque nous avons commencé ce projet, nous n'avions aucune idée du fait que nous allions passer un peu plus de trois mois pour le mener à bien », rapporte Sam Curry. « À l'origine, il devait s'agir d'un projet parallèle sur lequel nous travaillions de temps en temps, mais avec tout le temps libre supplémentaire que nous avons eu pendant la pandémie, nous avons fini par y consacrer quelques centaines d'heures ».

Pour Apple, l’équipe a déniché plus d’une cinquantaine de vulnérabilités, 55 pour être précis, dont certaines potentiellement très dangereuses. L’une permettait l’introduction d’un ver informatique capable de dérober automatiquement toutes les photos, vidéos et documents d’un compte iCloud. Une autre donnait la possibilité d’accéder aux codes sources d’Apple de plusieurs centaines d’application…

Vertueusement, les cinq pirates ont rapporté tous ces bugs à Apple qui s’est bien sûr empressé de les corriger. En guise de dédommagement, la marque à la pomme leur avait initialement reversé 55 100 dollars.

Finalement, Apple augmente la prime versée

Si cela représente une somme déjà conséquente, vous l’imaginez, elle est carrément dérisoire pour Apple et finalement assez peu élevée par rapport au travail fourni, à la fois en matière de temps consacré à cette tâche et des compétences requises.

Un rapide petit calcul donne un bon aperçu : 5 personnes, 55 vulnérabilités trouvés, 55 100 dollars, cela correspond environ à 200 dollars par faille trouvée par personne. Ramené sur trois mois, c’est donc un salaire d’à peine 3 675 dollars par tête.

Selon Dan Tentler, le fondateur de la société de sécurité Phobos, ce montant est « incroyablement bas ». Il explique : « 50 000 dollars est le montant que je m'attends à voir dans une évaluation de sécurité de deux à quatre semaines, mais les problèmes découverts par ces personnes incroyablement talentueuses valent des ordres de grandeur plus importants. Imaginez qu'un acteur malveillant découvre ces problèmes. Imaginez l'ampleur des dégâts. Apple signale que tout cela ne vaut que 50 000 dollars pour eux. Pour moi, c'est de la folie, et cela contredit toutes leurs énormes campagnes de marketing public sur la façon dont ils prennent la vie privée et la sécurité au sérieux ».

Depuis, Apple a octroyé davantage d’argent. La somme s’élève désormais à 288 500 euros. Sam Curry précise que l’entreprise leur a payé des récompenses pour 32 des 55 bugs signalés.

Des programmes « bug bounty » qui entraînent une certaine paupérisation ?

Toujours est-il que cette histoire en dit long sur ces programmes de « bug bounty », cadre dans lequel s’inscrit l’Apple Bug Bounty lancé il y a quatre ans. Pour les experts en cybersécurité, les recherches demandent souvent beaucoup d’investissement, et elles sont rarement payées à leur juste valeur. Sur Twitter , un ancien employé d’Apple s’amuse d’ailleurs du fait que « ces chasseurs sont vraiment une main-d'œuvre bon marché ».

Une situation dénoncée par le cabinet de conseil en cybersécurité Trail of Bits qui, dans un billet publié l’année dernière, s’insurgeait « qu’essayer de gagner sa vie en tant que programmeur en participant aux programmes de primes sur les bugs revient à se convaincre que l'on est assez bon au Texas Hold 'Em [Poker] pour quitter son emploi. »

Mais selon Katie Moussouris, spécialiste de ce genre de pratiques, « la vraie question est de savoir pourquoi Apple ne paye pas le même montant à des testeurs professionnels, en leur donnant la documentation technique au lieu de les laisser tâtonner et de leur faire perdre leur temps, afin qu’ils trouvent les mêmes choses voire plus en beaucoup moins de temps ».

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
13
11
Voir tous les messages sur le forum

Actualités récentes

Sur iPhone et iPad, Chrome 90 introduit un widget avec le petit jeu Chrome Dino
Les processeurs AMD Ryzen continuent leur remontada, atteignant près de 30 % des joueurs Steam
Ford officialise son pick-up électrique F-150, baptisé Lightning
PlayStation VR : le modèle PS5 compatible 4K et intégrerait le suivi du mouvement des yeux
Test Xgimi Horizon Pro : un vidéoprojecteur 4K polyvalent offrant une belle image
YouTube teste la traduction des titres des vidéos
TSMC va produire des puces en 5 nm dédiées au minage crypto
ASUS passe aux processeurs Intel de 11ème génération avec ces nouveaux ROG Zephyrus
Apple utilisera ses modems 5G maison à partir de 2023
NieR Automata : un moddeur termine un pack de textures HD après quatre ans de travail
Haut de page